CREAM - REKT 2

Otro experimento fallido del ecosistema Yearn Finance.

Cream Finance ha sido hackeado (de nuevo) por ~$130 millones.

El monopolio descentralizado de Yearn Finance ha crecido demasiado grande, y sus operadores, demasiado descuidados.

¿Para qué acumular tantos protocolos si no les importan sus usuarios?

Asumíamos que después de la serie de adquisiciones agresivas por parte de Yearn en el 2020, veríamos una seguridad mejorada en estas plataformas.

Sin embargo, claramente ese no fue el objetivo.

La página de CoinGecko del Ecosistema Yearn muestra el impacto de este hack en los precios.

Posición número tres en nuestro leaderboard, la segunda entrada para el protocolo Cream Finance, y diez posiciones en total para el Ecosistema Yearn.

Mientras los desarrolladores de Yearn siguen haciendo forks rápidos de otras plataformas e incentivan a los usuarios a utilizar las chains que les convienen a ellos, abusan de los desarrolladores que trabajaron en el código original, y ponen los fondos de otros usuarios en riesgo.

Esto no es para insinuar que Yearn quiere engañar a sus usuarios - todos los Degens DeFi son conscientes de los riesgos, pero no podemos ignorar este historial.

Negocios son negocios, sean on- o off-chain.

Algunos de estos protocolos fueron adquiridos post-hack, pero ¿quién se beneficiaba más de que estos competidores de Yearn fallaran?

Había una ventaja obvia para Yearn en ser capaz de vincular y apalancar tanta gama de protocolos, pero con un gran poder viene una gran responsabilidad...

¿Quién es responsable por la pérdida de $130M?

crédito: @Mudit__Gupta y @cryptofishx

Las wallets del exploiter:

Dirección A, Dirección B

El hacker fue capaz de aprovecharse de una vulnerabilidad de valoración al repetitivamente tomar prestado y prestar fondos de un flash loan entre las dos direcciones.

Luego, después de haber acumulado crYUSD, colateralizado por yUSDVault, el precio del token yUSDVault subyacente fue manipulado para efectivamente doblar el valor del colateral que pertenecía al agresor.

Finalmente, utilizando el colateral ya sobrevalorado, el agresor sustrajo todos los activos posibles de las bóvedas de préstamos de CREAM.

Una tabla completa de los fondos robados, que incluyen arriba de 2760 ETH, un total de 76 BTC en renBTC, WBTC y HBTC, junto con decenas de millones en stablecoins y otros tokens, se puede encontrar aquí.

Utilizando la dirección A, el agresor tomó un flash loan de 500M DAI de MakerDAO, depositando a la yPool de Curve por yDAI lo que luego fue utilizado para acuñar yUSD. El yUSD luego fue depositado en la estrategia yUSD de Yearn.

Utilizando los tokens yUSDVault de Yearn como colateral en CREAM, el agresor pudo acuñar ~$500M of crYUSD.

Con la dirección B, el hacker tomó un flash loan de AAVE con valor de $2B en ETH, para utilizar como colateral en CREAM. Esto le permitió tomar prestado otros ~$500M en yUSD, lo que fue depositado de nuevo para acuñar crYUSD.

A continuación, las dos cuentas ejecutaron un bucle de depositar y tomar prestado, con B transfiriendo ~$500M en tokens yUSDVault a A cada vez, hasta que la cuenta A tenía ~$1.5B en crYUSD y ~$500M en yUSDVault.

El hacker luego explotó una vulnerabilidad en el PriceOracleProxy interno de CREAM de los tokens yUSDVault. El precio de yUSDVault depende de su pricePerShare, lo que es definido por el saldo yUSD de la bóveda / totalSupply de yUSDVault.

Al canjear ~$500M de tokens yUSDVault para su yUSD subyacente, el agresor pudo reducir la totalSupply de la bóveda a tan solo $8M. Combinar esta reducción de la totalSupply con un depósito de ~$8M de yUSD a la bóveda, llevó a que CREAM subiera el valor de los tokens yUSDVault por aproximadamente el doble.

Debido a la manipulación del precio, CREAM ahora cree que la dirección A tiene $3B crYUSD de colateral. $2B de estos fueron retirados en ETH para poder devolver el flash loan de dirección B, mientras los ~$500m de yUSD recuperados de la yUSDVault se usan para devolver el préstamo inicial de DAI de la cuenta A.

El $1B restante fue más que suficiente para sustraer (tomar prestado e incumplir) los $130M en activos que CREAM tenía disponibles para prestar.

Después del ataque, los fondos fueron extraídos del contrato del exploit a esta wallet que había sido financiada a través de Tornado Cash en la hora antes del ataque en dos transacciones: una, dos.

Desde el ataque el hacker ha estado utilizando el renBridge para enviar fondos a BTC, también ha añadido arriba de $40M CRETH2 en liquidez a la pool ETH-CRETH2 de Uniswap, presuntamente intentando descargarse de lo máximo posible ya que puede que CRETH2 sea salvable.

El Cream.Finance: Deployer está entre las múltiples cuentas que han intentado comunicarse con el hacker.

Su mensaje:

ya ganaste. somos rekt. por favor devuelve los fondos y pagaremos un bounty de 10%.

Cuando los agresores con experiencia como éste actúan así, los motivos no son simplemente financieros.

Esto es una manipulación tanto de la industria como de los mercados, y debemos considerar quien gana en este incidente.

Otros protocolos fueron nombrados en un mensaje misterioso dentro del input data de la transacción principal del exploit:

gÃTµ Baave lucky, iron bank lucky, cream not. ydev : incest bad, dont do

En las Observaciones y Teorías que publicó Mudit Gupta sobre el ataque, señala varias razones por las que cree que el hacker (o hackers) es un desarrollador DeFi con experiencia, y por qué no es el ataque de un black hat típico.

Este hack ha revelado no solamente una vulnerabilidad en el código de un proyecto sino rivalidades más profundas que tal vez no eran tan obvias para el usuario DeFi promedio.

Una guerra que fue una vez escondida ahora se pelea en público.

Un hack de $130M hace titulares pero, para muchos, este ataque será recordado no por la pérdida, sino por cómo fue utilizado como una herramienta de publicidad por equipos rivales, ninguno de los cuales ha salido victorioso.

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.